tos-akibaのブログ

主に Microsoft 365 Security について

Azure AD の IPv6 サポート

昨年11月の Microsoft Entra の更新情報にも含まれていましたが、Azure AD での IPv6 サポート計画について投稿がありました。
2023年3月31日から、段階的に Azure AD への IPv6 サポート導入が開始されます。
IPv6 Coming to Azure AD - Microsoft Community Hub

===<2023/2/7 追記>===
日本語ブログ。
Azure AD に IPv6 が導入されます | Japan Azure Identity Support Blog

==================

 

冒頭で、Azure AD の機能やサービスで IPv6 を要求したり IPv4 の優先順位を下げることは計画されていない、と強調されています。
ただし、IPv6 アドレスを使用し、条件付きアクセスポリシーでネームドロケーションを使用している以下の2つのケースについては推奨アクションが示されています。

  • ネームドロケーションを使用して組織内の特定のネットワーク境界を識別している
  • 条件付きアクセスの場所ベースのポリシーを使用して、特定ネットワークからアプリへのアクセスを制限、セキュリティ保護している

 

また、更新情報やガイダンスは以下サイトに掲載されています。
https://aka.ms/azureadipv6

日本語はこちらの URL。
https://learn.microsoft.com/ja-jp/troubleshoot/azure/active-directory/azure-ad-ipv6-support

 

Azure AD のパスワードレス認証とフロー全体像

マイクロソフトの日本語ブログにて、Azure AD のパスワードレス認証をおススメする投稿が意訳されて公開されました。
この記事は 12月に英語版で公開されていましたが、フローの詳細が解説されているので日本語訳されるのを待っていました。
Azure AD が提供するパスワードレスのユーザー体験 | Japan Azure Identity Support Blog

 

冒頭、MFA疲労攻撃についても触れられていますが、Microsoft Authenticator に実装された番号一致機能については先日投稿した情報先の Video デモを見ると分かりやすいです。
Microsoft Entra 紹介のショート Video - tos-akibaのブログ

 

中盤の「解決方法」からは、Azure AD Join または Hybrid Azure AD Join した企業管理のデバイスを前提に、クラウドアプリケーションにアクセスする際のパスワードレス認証と条件付きアクセスのフローが図示され、詳細に解説されています。

この中では、PRT(Primary Refresh Token)の発行とユーザーの認証操作が要求されない場合についても解説されているので参考になります。

バイスの Azure AD Join、パスワードレス認証、Microsoft Authenticator、条件付きアクセス、の機能を組み合わせた現時点で最も望ましい構成例の全体像となっており、フィッシング脅威の大幅な低減が期待できます。

 

Microsoft Entra: 2023年の Identity5つの優先事項

マイクロソフトから 2023年初頭に、Microsoft Entra に関して Identity の5つの優先的な対処事項について製品を交えながら紹介されています。
5 Microsoft tips for securing identity and access - Microsoft Security Blog

 

冒頭に、2018年と2022年を対比し、パスワード関連の攻撃増加が月平均値のグラフで示されています。
パスワード攻撃、リプレイ攻撃、パスワードスプレー、フィッシング、それぞれ2割以上増加しパスワードスプレー攻撃に至っては13倍以上の増加です。
マイクロソフトでは、毎秒 1,287件、1日あたり1億1,100万件以上のパスワード攻撃を防止しているとしており、昨年の増加傾向も挙げています。

  • パスワード侵害のリプレイ攻撃は、月間58億件に増加
  • フィッシング攻撃は、月間3,100万件に増加
  • パスワードスプレー攻撃は、月間500万件に急増

 

これらに対して、ID保護についての5つの優先的な事項が紹介説明されています。

  1. 「多層防御」アプローチ
    サイバー犯罪は検出が難しい多要素認証のバイパスやトークン盗難などにエスカレートしている。
    すべての ID を監視、管理し、SOC と IDチームで緊密に連携して異常パターンを検出する。
    まず Azure AD の多要素認証を有効化し、レガシ認証をブロック。
  2. IDセキュリティのモダナイズ
    ADFS は Azure AD へ移行しオンプレサーバーを廃止、シングルサインオンを活用して簡素化。
  3. ID とネットワークアクセスのソリューション連携
    Microsoft Secure Hybrid Access program に参加しているネットワークアクセスソリューションは Azure AD と統合して組み合わせる。
  4. IDガバナンスの簡素化、自動化
    不要になったアクセス権を放置せず削除する。
    Microsoft Entra Idenity Governance のエンタイトルメント管理などを利用し適切に管理。
  5. 安価で素早く信頼できる方法で、リモートユーザーを確認
    Microsoft Entra Verified ID で、組織の ID検証負担を軽減し、新入社員のオンボーディングなどプロセスを簡素化、合理化する。

 

Microsoft Entra 紹介のショート Video

Microsoft Entra の5つの製品をコンパクトに紹介する9分間の Video が公開されました。
Video: Manage your multi-cloud identity infrastructure with Microsoft Entra - Microsoft Community Hub

 

各機能紹介のタイムスタンプも丁寧な一覧表で掲載されていますので参考になります。

内容は、Microsoft Entra 管理センターの紹介から始まり、Microsoft Authenticator の MFA認証で 2桁の番号を入力する強化機能なども、スマホ画面と並べて分かりやすく見られます。

その後 My Apps ポータルの紹介後、Verified ID や Workload Identities、Permisson Management についても画面付きで簡単な紹介をしています。

英語ですが字幕表示は可能です。短いのですぐに見終わりますし要点だけ概要を知るには参考になります。

 

MDO の攻撃シミュレーションレポートに新たな分析情報

Microsoft Defender for Office 365(MDO)のフィッシングメールなどに対する攻撃シミュレーショントレーニング機能に、新たな分析情報が追加されました。
Attack Simulation Training: New insights into targeted user behavior - Microsoft Community Hub

 

管理者はシミュレーションレポートにおいて、対象ユーザーのテレメトリ(疑わしいと報告、メッセージ内のリンクをクリック、資格情報を提供)のほかに、エンドユーザーの行動を洞察できる情報が追加できます。
具体的には、対象のエンドユーザーがフィッシングシミュレーションのメッセージに対して、

  • メッセージを読んだ
  • メッセージを削除した
  • メッセージを転送した
  • メッセージに返信した
  • 自動不在応答を設定した

といった情報が得られます。

上記リンク先の後半では、これらのレポートから時間軸を含めてビジュアライズし、ユーザーのアクション分布を分析する例が示されており、ユーザーへの行動トレーニングを促すデータ活用として紹介されています。

 

(参考)
分析情報とレポートの攻撃シミュレーション トレーニング - Office 365 | Microsoft Learn

 

2023年の 5つのエンドポイント管理予測

マイクロソフトは、完璧な予測はないと前置きしながらも、2023年のエンドポイント管理について 5つの予測を示しており、Microsoft Intune が改善に役立つかの検討をおススメしています。
Microsoft Intune: 5 endpoint management predictions for 2023 - Microsoft Security Blog

 

1.強力なクラウド導入は継続

 Gartner によると、世界のパブリッククラウドユーザーの支出カテゴリで、2023年にはサービスとしてのインフラが約 30%、サービスとしてのプラットフォームが約 25%増加すると予測しており、2025年までにクライアントの 90%以上がクラウドベースの統合エンドポイント管理(UEM)を使用すると予測しています。

 

2.セキュリティは 2023年も CTO の最重要課題

 CTO への調査では、支出増の観点から最優先プロジェクトはクラウドセキュリティであり、2番目以降はネットワークセキュリティ、Analytics と続き、2026年のセキュリティ支出の増加予測も多めの傾向でした。
地政学的な要因も続いており、2023年はディープフェイクや ransomware as a service(RaaS)についてもさらに多く聞かれると思われます。
CISO にとって組織防御の強化策としては、セキュリティソフトウェアの適切な統合、脆弱性の低減、自動化、および人的なスキルアップへの投資が挙げられます。

 

3.労働者のモビリティはさらに向上

 ナレッジワーカーのモデルはこの数年で変わり、2023年はハイブリッドワーク(どこでも保護)のトレンドに幾つかのシフトがみられるでしょう。
来年は 5G対応デバイスの大量採用が見込まれ、2023年だけで 6億の 5G接続が追加される推定もあります。
新しい作業スタイル、新しいネットワーク、新しいデバイスは新たな攻撃ベクトルとなるため、自宅だけでなくどこからでも仕事ができる保護を準備する必要があります。

 

4.CTO はローカルな要因により注意を払う

 データの保存場所や保護に関連する国内規制が増えており、グローバルに画一的な採用が困難になると予想されます。
2023年には公共部門のさらなる DX が見込まれ、これらの機関は国固有のセキュリティやコンプライアンス規則を持つため、エンドポイント管理ソリューションやアーキテクチャ全体をローカル要件に適応する必要があります。

 

5.真に革新的なテクノロジーがトップに

 2023年に注目のテクノロジーの1つは、AI による高度な自動化です。
AI スタートアップは 2020年以来、新薬開発からアートや執筆の新しい方法まで、1,000億米ドルのベンチャーキャピタル投資を行っており、セキュリティにおいても高度な AI と自動化が行われると予想されます。
エンドポイント管理では、2027年までに UEM と社員のエクスペリエンスツールの統合など、自立的なエンドポイント管理が推進され、人の労力が 40%削減されると Gartner は予測しています。
セキュリティタスクの自動化されるほど、スタッフの時間は戦略的な作業に振り向けられるようになります。

 

AADIP から Sentinel へのフィールド変更

2022年9月30日時点で、Azure Active Directory Identity Protection(AADIP)コネクタから Microsoft Sentinel へ送られるアラートに以下のフィールドが含まれなくなりました。

  • CompromisedEntity
  • ExtendedProperties["User Account"]
  • ExtendedProperties["User Name”]

Azure Active Directory Identity Protection user account enrichments removed: how to mitigate impact - Microsoft Community Hub

ドキュメントの同情報はこちら。
https://learn.microsoft.com/ja-jp/azure/sentinel/whats-new#account-enrichment-fields-removed-from-azure-ad-identity-protection-connector

 

これらのフィールドを参照するカスタムクエリやルールのために、UEBAソリューションを有効化し Identityinfo テーブルを利用する手段として、上記情報にはサンプルのクエリが提示されています。

UEBA 機能を有効化した場合は、Log Analytics ワークスペースの新しいテーブルにデータが格納されるためデータストレージの追加料金が発生します。
エンティティ動作分析を利用し、高度な脅威を検出する | Microsoft Learn